techsmile
Goto Top

DNS - Einen Eintrag über zweite IP bei Ausfall der ersten IP erreichen

Hallo Admins,

wir erarbeiten aktuell ein Konzept, wie wir unsere Backupleitung auch für den externen Zugriff nutzen können.
Derzeit wird diese nur auf der Firewall als passives Gateway genutzt und baut, sobald die Hauptleitung ausfällt, die Verbindung auf. Die Unterbrechung beträgt hierbei nur ein paar Sekunden - soweit so gut.

Ziel ist es nun, dass wir die Dienste, die von extern mit der Hauptleitung erreichbar sind, auch mit der Backupleitung erreichbar machen möchten. Hiervon betroffen unter anderem die TK-Anlage, VPN-Server, ActiveSync, Webserver, etc.

Ich habe schon etwas recherchiert, ob für uns einfach ein zweiter A-Record bei den Public DNS Einträgen genügt, habe jedoch hierzu nichts passendes gefunden bzw. ob das so ist wie ich mir das vorstelle.

Mir stellt sich die Frage, ob die Clients automatisch den zweiten A-Record erhalten, sollte der erste nicht erreichbar sein?
Beide Leitungen (Haupt und Backup) haben gleich viele statische IP-Adressen - Wird trotzdem DynDNS benötigt?

Vielen Dank und Gruß!

TechSmile

Content-ID: 5221089774

Url: https://administrator.de/contentid/5221089774

Ausgedruckt am: 02.11.2024 um 20:11 Uhr

wiesi200
wiesi200 05.01.2023 aktualisiert um 15:43:48 Uhr
Goto Top
Hallo,

sowas musst du eigentlich in Absprache mit deinem Anbieter für die Internetleitung machen.
Bei Vodafone ist das anscheinend Standard, bzw. laut Vertrieb bekommen ich über LTE mit IP Umschaltung da ändert sich die IP garnicht.
techSmile
techSmile 05.01.2023 um 15:49:12 Uhr
Goto Top
Zitat von @wiesi200:

Hallo,

sowas musst du eigentlich in Absprache mit deinem Anbieter für die Internetleitung machen.
Bei Vodafone ist das anscheinend Standard, bzw. laut Vertrieb bekommen ich über LTE mit IP Umschaltung da ändert sich die IP garnicht.

Ich habe nicht genau verstanden worauf du abzielst.
Wir haben statische IP-Adressen, da ändert sich nichts. Und über LTE haben wir auch keine Verbindung.

Es handelt sich um Glasfaser 1GBit/s synchron (Hauptleitung) und um 1000/50 MBit/s über Coax (Backup)

Die DNS-Einträge verwalten wir bei unserem Domainprovider selbst.
SlainteMhath
SlainteMhath 05.01.2023 um 15:53:32 Uhr
Goto Top
Moin,

2 A-Records ist für so einen Failover Szenario ungeeignet, da der DNS Server die IPs immer "Round-Robin" herausgibt.

Wie oben schon steht benötigts Du die Mithilfe deines ISPs.

lg,
Slainte
techSmile
techSmile 05.01.2023 um 16:04:57 Uhr
Goto Top
Und was muss ich den Provider dann fragen? Ich stehe gerade etwas auf dem Schlauch und ich dachte nicht, dass das so etwas kompliziertes ist.

Meine Idee war:

2x A-Record -> Client sucht sich die aktuell verfügbare Verbindung raus
NAT-Regeln für beide öffentliche IPs pro angebotenen Dienst auf der Firewall erstellen.

Thema erledigt.
StefanKittel
StefanKittel 05.01.2023 um 16:07:51 Uhr
Goto Top
Hallo,

soweit ich das sehe bleiben folgende Möglichkeiten mit spezifizischen Vor- und Nachteilen.

- Bonding z.B. mit virtueller IP
Dein Provider stellt Dir mehrere Leitungen zur Verfügung und fügt diese virtuell zusammen.
Kann alles was Du willst, ist teuer und muss über einen Anbieter laufen.
Entspricht Proxy auf IP-Ebene.

- DNS Eintrag mit mehrere IP-Adressen
Ist aber Round-Robin wie Slainte schon sagte. Es werden also immer beide IPs gleichmäßig genutzt.

- Proxy
Hier entscheidet der Proxy an welche IP und welchen Umständen er Daten weiterleitet.
Ist auch wieder ein Single-Point-Of-Failure, muss das Protokoll verstehen, also mehrere Proxys, und stelle bei Verschlüsselten Daten auch ein Sicherheitsrisiko dar. Funktioniert bei OWA z.B. aber prima.

Eine Software oder Person entscheidet beim Endbenutzter wohin die Verbindung geht.
z.B. 2 VPN Symbole zum verbinden, etc.

Stefan
maretz
maretz 05.01.2023 um 16:09:15 Uhr
Goto Top
Zitat von @techSmile:

Und was muss ich den Provider dann fragen? Ich stehe gerade etwas auf dem Schlauch und ich dachte nicht, dass das so etwas kompliziertes ist.

Meine Idee war:

2x A-Record -> Client sucht sich die aktuell verfügbare Verbindung raus
NAT-Regeln für beide öffentliche IPs pro angebotenen Dienst auf der Firewall erstellen.

Thema erledigt.

Moin,
und woher soll der DNS-Server wissen ob dein System erreichbar ist oder nicht? Das is nur nen DNS, den interessiert das herzlich wenig... und wenn ich jetzt nen Zugriff auf euer System mache wird mein DNS hier diesen Eintrag auch im Cache haben - und somit interessiert den das noch weniger...

Du hast 2 Optionen:
a) Dein provider bietet einen solchen Service direkt an - dann brauchst nich viel machen...

b) Du richtest dir irgendwo im Web nen Loadbalancer ein der eben auf beiden Leitungen arbeitet wenn beide aktiv sind... Fällt eine aus wird der diese als "Tod" markieren und eben nur die andere nehmen bis die wieder da ist. Da der Zugriff selbst ja immer nur auf den Loadbalancer geht hast du auch nur einen Hostname... mit allen Vor- und Nachteilen...
StefanKittel
StefanKittel 05.01.2023 um 16:12:01 Uhr
Goto Top
Theoretisch könntest Du es mit einer kleinen Software lösen wenn der DNS-Anbieter eine API hat.
TTL auf 60 Sekunden setzen.

Du prüftst ob die Leitung OK ist alle 60 Sekunden.
Wenn nicht, änderst Du die den DNS-Eintrag.

Stefan
Dani
Dani 05.01.2023 um 16:29:34 Uhr
Goto Top
Moin,
Ziel ist es nun, dass wir die Dienste, die von extern mit der Hauptleitung erreichbar sind, auch mit der Backupleitung erreichbar machen möchten. Hiervon betroffen unter anderem die TK-Anlage, VPN-Server, ActiveSync, Webserver, etc.
eine weitere Option, die sehr gut funktioniert ist ein Load Balancer ala Microsoft Azure Traffic Manager. Je nach Konfiguration erkennt dieser evtl. Ausfälle eines Nodes und ändert den DNS-Eintrag innerhalb der konfigurierten Zeit. Nutzen wir für kleinere Standorte, wo uns die HA Lösungen der ISP zu teuer sind.


Gruß,
Dani
2423392070
2423392070 05.01.2023 um 16:41:58 Uhr
Goto Top
So lange dein(e) ISP(s) dazu nichts anbietet, wirst du selbst das Thema regeln müssen. Schlimmstenfalls ist für jeden Dienst eine Lösung nötig oder die baust irgendwo eine entsprechende Lösung beim Provider ein, die dann aber in der minimalen Ausführung ebenfalls nicht redundant ist.
aqui
aqui 05.01.2023 aktualisiert um 17:18:53 Uhr
Goto Top
Client sucht sich die aktuell verfügbare Verbindung raus
Da ist vermutlich der Denkfehler. Der Client kann ja niemals selber "suchen". Der nimmt das was der DNS Server ihm als IP Adresse zurück gibt zum Hostnamen...fertig.
Mit 2A Records dann immer "Round-Robin" wie Kollege @SlainteMhath oben schon gesagt hat.
Eine 1Gig Leitung die man teuer Monat für Monat bezahlt dann einfach ungenutzt als passives Gateway brachliegen zu lassen ist ja auch nicht gerade besonders intelligent. Zumindestens outbound sollte man sie aktiv in der Lastenverteilung nutzen.
Glasfaser 1GBit/s synchron
Du meintest sicher symetrisch?! Synchon meint etwas anderes.
techSmile
techSmile 05.01.2023 um 18:07:53 Uhr
Goto Top
Vielen Dank für die ganzen Rückmeldungen!

Ich schaue mir mal das Thema Load Balancer an und melde mich im Anschluss wieder. Ich weiß nicht, ob IONOS eine API-Schnittstelle anbietet, sonst könnten wir das ggf. auch über PowerShell und PRTG realisieren.

Nach unseren bisherigen Erfahrungen mit Vodafone, versuche ich so gut es geht den Kontakt zu meiden. Selbst als Businesskunde mit mehreren Tausend Euronen im Monat ist der Kundenservice erschreckend schlecht. Leider wäre der Aufwand riesig zu wechseln und das entscheide letztendlich auch nicht ich.

Richtig, ich meine symmetrisch. Da bin ich durcheinander gekommen…

Viele Grüße

TechSmile
StefanKittel
StefanKittel 05.01.2023 um 18:11:19 Uhr
Goto Top
Hallo,

Du kannst für kleines Geld (ist immer relative) eine ganz andere Domäne bei AWS Route53 einrichten.
Ob der Hostname beim VPN nun vpn.firma.de oder vpn.firma.com lautet ist doch egal.

Bei AWS kannst Du TTL < 1 Minute einrichten und hast eine API.
Ich benutze etwas ähliches für die Einwahl auf einem RDP-Sicherheitsgateway.

Stefan
Xaero1982
Xaero1982 05.01.2023 um 21:35:03 Uhr
Goto Top
Zitat von @StefanKittel:

Hallo,

Du kannst für kleines Geld (ist immer relative) eine ganz andere Domäne bei AWS Route53 einrichten.
Ob der Hostname beim VPN nun vpn.firma.de oder vpn.firma.com lautet ist doch egal.

Bei AWS kannst Du TTL < 1 Minute einrichten und hast eine API.
Ich benutze etwas ähliches für die Einwahl auf einem RDP-Sicherheitsgateway.

Stefan

Das hab ich gesucht. Ist auch bei einem Kunden so eingerichtet, so dass wenn mal die Hauptleitung wegbricht, innerhalb weniger Sekunden auf die Backupleitung geswitcht wird.
Dani
Lösung Dani 05.01.2023 um 22:25:01 Uhr
Goto Top
@StefanKittel
Da finde ich den Weg über Azure Traffic Manager eleganter. Weil ich meine Domain nicht aus der Hand geben muss und du auf keine API angewiesen bist. Sondern die wenn was Konfiguration vollumfänglich nach Bedarf vorab hinterlegen kannst. Der Spaß kostet allerdings +- 17 Euro im Monat wenn man von ein paar GB im Monat ausgeht.


Gruß,
Dani
ukulele-7
ukulele-7 06.01.2023 um 09:32:15 Uhr
Goto Top
Zitat von @techSmile:

Derzeit wird diese nur auf der Firewall als passives Gateway genutzt und baut, sobald die Hauptleitung ausfällt, die Verbindung auf. Die Unterbrechung beträgt hierbei nur ein paar Sekunden - soweit so gut.
Also derzeit eine reine Failover-Konfiguration, warum eigentlich? Kostet die andere Leitung nur bei Nutzung oder gibt es Volumen-Beschränkungen? Unterscheiden sich die Leitungen von der Leistung und/oder Qualität oder währe es unproblematisch eingehende Verbindungen immer auf beide aufzuteilen?
2423392070
2423392070 06.01.2023 um 10:28:12 Uhr
Goto Top
Kleine Info am Rande, für alle unsere Leitungen bietet die Telekom eine Redundanz in der Vermittlungsstelle.
So lange der Kabelweg nicht durchtrennt wird, ist also alles "Safe"

Übrigens ist die Wahrscheinlichkeit, dass eine deutsche Glasfaserleitung ausfällt im Vergleich eher gering.
techSmile
techSmile 06.01.2023 um 11:21:00 Uhr
Goto Top
Zitat von @ukulele-7:

Zitat von @techSmile:

Derzeit wird diese nur auf der Firewall als passives Gateway genutzt und baut, sobald die Hauptleitung ausfällt, die Verbindung auf. Die Unterbrechung beträgt hierbei nur ein paar Sekunden - soweit so gut.
Also derzeit eine reine Failover-Konfiguration, warum eigentlich? Kostet die andere Leitung nur bei Nutzung oder gibt es Volumen-Beschränkungen? Unterscheiden sich die Leitungen von der Leistung und/oder Qualität oder währe es unproblematisch eingehende Verbindungen immer auf beide aufzuteilen?

Korrekt, derzeit rein Failover. Die Leitungen unterscheiden sich hinsichtlich der Geschwindigkeit nur im Upload.

Wir sind aber über einen Cisco Cluster an ein RZ angebunden und können deshalb für manche Verbindungen nur die Hauptleitung nutzen. Daher hat die bisherige Failover-Konfiguration einfach so ausgereicht. Zudem hängen über unterschiedliche Schnittstellen noch andere Stationen an den verschiedenen GWs. Also beide Leitungen werden schon genutzt, es unterscheiden sich nur die Einsatzzwecke. Das ist alles historisch gewachsen.

Neues Jahr, neue Versuche etwas zu verbessern und zu optimieren.
C.R.S.
C.R.S. 06.01.2023 um 12:46:27 Uhr
Goto Top
Zitat von @Dani:

@StefanKittel
Da finde ich den Weg über Azure Traffic Manager eleganter. Weil ich meine Domain nicht aus der Hand geben muss und du auf keine API angewiesen bist. Sondern die wenn was Konfiguration vollumfänglich nach Bedarf vorab hinterlegen kannst.

Das geht auch mit Route 53; nur wenn Du mit CNAME auf den gebalancten Hostnamen arbeiten willst, musst Du halt eine (andere) eigene Zone für diesen Hostnamen dort hosten und bekommst keine Zone von AWS dafür, anders als bei Azure. Route 53 ist die etwas flexiblere Lösung (z.B. Anbindung an weitere Automatisierung), deren Möglichkeiten für reines DNS-Failover natürlich nicht unbedingt gebraucht werden.

Grüße
Richard
aqui
aqui 06.01.2023 um 15:07:26 Uhr
Goto Top
und können deshalb für manche Verbindungen nur die Hauptleitung nutzen.
Cisco kann das auch bei 2 parallelen Leitungen elegant mit PBR und Route Maps lösen. Zumindestens das ist dann kein Hinderungsgrund bei der HW. Was auch immer mit "Cisco Cluster" technisch gemeint ist...?!
Bluebrain
Bluebrain 09.01.2023 um 16:29:01 Uhr
Goto Top
Wird trotzdem DynDNS benötigt?
Ja, meiner Meinung nach schon.

Ich habe es über einen pfsense Router gelöst, der je nach Verfügbarkeit zwischen Kabel- und DSL-Anschluss umschaltet.
Eine der beiden Verbindungen hat Priorität, Trigger für Umschaltung kann konfiguriert werden (Monitoring IP, Latenz, Zeit, ...).
Die jeweils aktuelle IP wird über DynDNS bekanntgegeben.
techSmile
techSmile 13.01.2023 um 17:15:23 Uhr
Goto Top
Hallo, um nochmal kurz Rückmeldung zu geben:

Ich habe mich für den Azure Traffic Manager von Microsoft entschieden. Dieser prüft alle 10 Sekunden ob der jeweilige Service erreichbar ist und schaltet im Bedarfsfall automatisch um.

@aqui: Über Hören Sagen - das System besteht schon eine Weile - ist der VPN Tunnel der Cisco Router an die statische IP gebunden. Genaueres kann ich leider auch nicht sagen. Da sich unser Backup Gateway und dessen IP geändert hat, muss wohl hier Hand angelegt werden, damit das wieder funktioniert.

Viele Grüße und Danke für euren zahlreichen Input!
aqui
aqui 13.01.2023 um 18:18:41 Uhr
Goto Top
Ja und nein. Mit dem EEM Manager könnte man sowas für den Ausfall automatisieren. Dazu müsste man aber, wie schon gesagt, genau wissen was für eine HW, Konfiguration und was mit "Cluster" genau gemeint ist.